Skip to content
PortsDB

Référence des ports

Port 5683 (UDP) – CoAP (Constrained Application Protocol)

Protocole léger de type REST basé sur UDP pour les appareils IoT contraints ; la variante sécurisée CoAPS tourne sur le 5684 avec DTLS.

udpRegisteredSouvent attaqué

État par défaut

Ouvert sur de nombreux appareils et passerelles IoT, fréquemment sans authentification. Le CoAP simple sur le 5683 n'est pas chiffré ; la forme sécurisée (CoAPS) utilise DTLS sur le 5684.

Attaques courantes

  • DDoS par réflexion/amplification UDP via les réponses CoAP
  • Énumération de ressources et contrôle d'appareils non authentifiés
  • Requêtes usurpées pour lire ou modifier l'état des capteurs/actionneurs
  • Exploitation de piles CoAP embarquées vulnérables

Durcissement

  • Utiliser CoAPS (DTLS) sur le 5684 plutôt que le CoAP en clair sur le 5683
  • Ne jamais exposer le 5683 directement à Internet ; garder l'IoT sur des réseaux segmentés
  • Désactiver la découverte multicast et les réponses amplifiables sur les interfaces publiques
  • Exiger authentification/autorisation pour les ressources sensibles
  • Corriger le firmware des appareils et limiter le débit UDP au niveau de la passerelle

Commande nmap

nmap -sU -p5683 --script coap-resources <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 5683

Le port 5683 est CoAP, le Constrained Application Protocol — un protocole léger de type REST conçu pour les appareils IoT contraints et les réseaux à faible consommation. Il fonctionne sur UDP et reproduit les verbes HTTP (GET, POST, PUT, DELETE) sous une forme binaire compacte. Le CoAP simple sur le 5683 n'est pas chiffré ; la variante sécurisée CoAPS utilise DTLS sur UDP 5684.

Pourquoi c'est important pour la sécurité

CoAP est souvent livré sans authentification, donc quiconque atteint le 5683 peut lire des capteurs et contrôler des actionneurs. Comme il s'agit d'UDP sans connexion, les adresses source peuvent être usurpées — rendant les appareils exposés utiles comme réflecteurs pour un DDoS par amplification, où une petite requête produit une réponse plus grande dirigée vers une victime.

Comment c'est attaqué

Les attaquants énumèrent les appareils exposés avec coap-resources, découvrant les points de terminaison et leurs données. Ils émettent des requêtes usurpées pour lire ou modifier l'état de l'appareil, et recrutent les nœuds CoAP ouverts dans des campagnes de DDoS par amplification. Les piles CoAP embarquées vulnérables sont aussi ciblées directement pour des plantages ou de l'exécution de code.

Liste de durcissement

Utilisez CoAPS (DTLS) sur le 5684 plutôt que le CoAP en clair sur le 5683. N'exposez jamais le 5683 directement à Internet et gardez les appareils IoT sur des réseaux segmentés. Désactivez la découverte multicast et les réponses amplifiables sur les interfaces publiques, et exigez authentification/autorisation pour les ressources sensibles. Corrigez le firmware et limitez le débit UDP au niveau de la passerelle. Utilisez la commande nmap ci-dessus pour vérifier l'exposition sur les appareils que vous êtes autorisé à tester.

Ports liés

Port 5684Port 1883Port 8883Port 161

Questions fréquentes

Le CoAP sur le port 5683 est-il chiffré ?
Non. Le CoAP simple sur le 5683 n'est pas chiffré et généralement pas authentifié. La variante sécurisée, CoAPS, tourne sur UDP 5684 et utilise DTLS pour la confidentialité et l'authentification.
Pourquoi CoAP présente-t-il un risque d'amplification DDoS ?
CoAP fonctionne sur de l'UDP sans connexion, donc les requêtes peuvent être usurpées et une petite requête peut provoquer une réponse plus grande. Les attaquants détournent les appareils exposés comme réflecteurs pour amplifier le trafic vers une victime.